Лаборатория Касперского выпустила продукт для защиты банкоматов и POS-терминалов Kaspersky Embedded Systems Security. Так и хочется назвать его «антивирусом», тем более, что такая функциональность тоже присутствует, но она далеко не основная. Новый продукт Лаборатории представляет собой специальный инструмент, разработанный с хорошим пониманием реальных потребностей банков. В отличие от многочисленных собратьев, он решает узкий спектр задач, но зато действительно важных.
Выход Kaspersky Embedded Systems Security именно сейчас объясняется просто. В апреле 2016 года закончилась поддержка Windows Embedded for Point of Service SP3, операционной системы для банкоматов и POS-терминалов, базирующейся на Windows XP. На этой устаревшей с точки зрения Microsoft ОС до сих пор работает около 90% банкоматов по всему миру. И хотя более свежие ее версии (в частности, Windows Embedded POSReady 2009) будут получать обновления до 2019 года, обладатели значительной части парка банкоматов сейчас ломают головы – как прикрывать дыры в своих немолодых, но еще вполне пригодных к использованию аппаратах.
Решение Лаборатории Касперского словно слышит их чаяния.
Во-первых, в нем есть режим «Запрет по умолчанию». В нем исполняются только те файлы, драйверы и библиотеки, которые явно разрешены администратором. Это исключает сценарий атак с подменой файлов при помощи ПО, специально разработанного для этих целей.
Во-вторых, в Kaspersky Embedded Systems Security встроена функция «Контроль устройств», исключающая использование неавторизованных USB-носителей. Вроде бы мелочь, но любой безопасник расскажет грустную историю, как к банкомату, стоящему в супермаркете или гостинице, подходит вежливый человек в синем халате, аккуратно разбирает относительно незащищенную тыльную часть банкомата и, добравшись до USB-порта, вставляет свою флэшку. Всем интересующимся он терпеливо объясняет, что пришел от сервисной компании обновить ПО. Например, заменить рекламу на экране, которая действительно меняется. Заодно банкомат переходит в режим отладки, в котором опустошает кассеты с наличными в предусмотрительно подставленную сумку молодого человека.
Еще есть антивирусная функция, интегрированная с облачными сервисами компании, однако как раз она упоминается не в первую очередь. Действительно, если банкомат подключен к сегменту сети с повышенной защитой, на нем нельзя менять файлы и подключать внешние устройства, вероятность проникновения вирусов стремится к нулю. Она возможна лишь при авторизованном сервисном обслуживании с зараженных носителей или при инсайдерской атаке, но это уже не совсем типичные сценарии.
Разработчик обещает, что решение будет работать даже на слабых конфигурациях с 256 Мбайт памяти
С другой стороны, согласно требованиям PCI DSS, все системы, которые работают с банковскими картами, должны быть снабжены регулярно обновляемым антивирусом, и Kaspersky Embedded Systems Security здесь вполне подходит. Обновлять базы можно как онлайн, так и вручную.
Разработчик обещает, что решение будет работать даже на слабых конфигурациях с 256 Мбайт памяти, занимая от 50 до 500 Мбайт на жестком диске. С учетом заведомо невысокой мощности старых банкоматов, это полезно. Также есть функция удаленного управления всеми банкоматами через централизованную консоль администрирования Kaspersky Security Center или любую локальную.
В описании продукта подчеркивается выполнение требований PCI DSS (v3.1 параграфы 5.1, 5.1.1, 5.2, 5.3 и 6.2). Однако, именно параграф 6.2 и вызывает сомнения. Там написано, что все программные компоненты системы должны обновляться при помощи патчей, поставляемых разработчиком, причем последние должны быть свежими, не больше месяца от роду.
Де-юре, дальнейшее использование банкомата с устаревшей ОС означает нарушение требований сертификации по PCI DSS
То, что такие патчи предоставит Лаборатория Касперского, сомневаться не приходится. Но Microsoft окончательно перестала обновлять старые версии Windows Embedded, на которых использование Kaspersky Embedded Systems Security и имеет максимальный смысл. Де-юре, дальнейшее использование банкомата с устаревшей ОС означает нарушение требований сертификации по PCI DSS, хотя де-факто решение ЛК потенциальные дыры закрывает. Многие банки проигнорируют эту шероховатость, но осадочек остается. И в один прекрасный день все равно все равно придется менять если не банкоматы, то операционную систему.
Теплого приема на рынке также ждать не стоит: разнообразные решения для банкоматов разрабатываются многими вендорами уже не первый год, и хотя не все из них так же остро заточены под борьбу со злободневными проблемами, традиционную инертность банковского рынка никто не отменял.
То, что Лаборатория Касперского выходит на рынок, ловко подгадав момент, и сразу с вполне продуманным решением – это отлично. Однако путь к признанию может оказаться неблизким и непростым.
